Ferill 524. máls. Aðrar útgáfur af skjalinu: Word Perfect.
126. löggjafarþing 2000–2001.
Þskj. 1141 — 524. mál.
Frumvarp til laga
um rafrænar undirskriftir.
(Eftir 2. umr., 26. apríl.)
I. KAFLI
Markmið og gildissvið.
1. gr.
Markmið.
2. gr.
Gildissvið.
Viðskiptaráðherra fer með yfirstjórn mála samkvæmt lögum þessum.
II. KAFLI
Skilgreiningar, réttaráhrif og vernd persónuupplýsinga.
3. gr.
Orðskýringar.
1. Rafræn undirskrift: Gögn í rafrænu formi sem fylgja eða tengjast rökrænt öðrum rafrænum gögnum og eru notuð til að sannprófa frá hverjum hin síðarnefndu gögn stafa.
2. Útfærð rafræn undirskrift: Rafræn undirskrift sem:
a. tengist undirritanda einum,
b. er til þess fallin að bera kennsl á undirritanda,
c. er gerð með aðferð sem er eingöngu á forræði undirritanda og
d. er tengd gögnum á þann hátt að hvers konar breyting á þeim eftir undirritun er greinileg.
3. Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
4. Undirritandi: Sá sem hefur forræði yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu.
5. Undirskriftargögn: Einstök gögn, svo sem kótar eða einkalykill dulritunar, sem undirritandi notar til að mynda rafræna undirskrift.
6. Undirskriftarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að mynda rafræna undirskrift með hjálp undirskriftargagna.
7. Öruggur undirskriftarbúnaður: Undirskriftarbúnaður sem fullnægir skilyrðum sem kveðið er á um í 8. og 9. gr. laga þessara.
8. Sannprófunargögn: Gögn, svo sem kótar eða dreifilykill dulritunar, sem notuð eru til að sannreyna rafræna undirskrift.
9. Sannprófunarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að sannreyna rafræna undirskrift með hjálp sannprófunargagna.
10. Vottorð: Vottorð á rafrænu formi sem tengir sannprófunargögn við undirritanda og staðfestir hver hann er.
11. Fullgilt vottorð: Vottorð sem hefur að geyma upplýsingar sem kveðið er á um í 7. gr. og er gefið út af vottunaraðila sem fullnægir skilyrðum V. kafla laga þessara.
12. Vottunaraðili: Aðili sem gefur út vottorð eða veitir aðra þjónustu í tengslum við rafrænar undirskriftir.
4. gr.
Réttaráhrif rafrænna undirskrifta.
Ákvæði 1. mgr. er því ekki til fyrirstöðu að aðrar rafrænar undirskriftir en þar greinir geti uppfyllt skilyrði um undirskrift samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum.
5. gr.
Vernd persónuupplýsinga.
Um meðferð vottunaraðila á persónuupplýsingum og eftirlit með henni fer samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Vottunaraðilar eru tilkynningarskyldir samkvæmt þeim lögum.
III. KAFLI
Fullgild vottorð.
6. gr.
Fullgilt vottorð.
7. gr.
Innihald fullgilds vottorðs.
1. Vísbendingu um að vottorðið sé gefið út sem fullgilt vottorð.
2. Upplýsingar um deili á vottunaraðila og hvar hann hefur staðfestu.
3. Nafn undirritanda eða dulnefni. Noti undirritandi dulnefni skal koma skýrt fram að um dulnefni sé að ræða.
4. Frekari upplýsingar um undirritanda ef þær eru nauðsynlegar vegna tilgangs vottorðsins.
5. Sannprófunargögn sem svara til þeirra undirskriftargagna sem undirritandi hefur forræði yfir.
6. Upphaf og lok gildistíma vottorðsins.
7. Auðkenniskóta vottorðsins.
8. Útfærða rafræna undirskrift vottunaraðilans sem gefur vottorðið út.
9. Upplýsingar um takmarkanir á gildissviði og á fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi.
Ráðherra getur sett nánari fyrirmæli um þær upplýsingar sem fullgild vottorð skulu hafa að geyma í reglugerð.
IV. KAFLI
Öruggur undirskriftarbúnaður.
8. gr.
Kröfur.
a. geti eingöngu komið einu sinni fram,
b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.
Öruggur undirskriftarbúnaður skal einnig tryggja leynd undirskriftargagnanna með fullnægjandi hætti og að rafræn undirskrift sé varin gegn fölsun.
Ekki skal vera unnt að nota öruggan undirskriftarbúnað til að breyta þeim gögnum sem undirrita á eða hindra að undirritandi geti séð gögnin fyrir undirritun.
9. gr.
Viðurkenning.
a. þar til bær aðili hefur staðfest að hann uppfylli kröfur 8. gr.; viðskiptaráðherra getur í reglugerð kveðið á um þá aðila sem veitt geta slíka staðfestingu, eða
b. þar til bær aðili á Evrópska efnahagssvæðinu hefur viðurkennt hann.
Líta skal svo á að undirskriftarbúnaður teljist öruggur skv. 8. gr. ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett um slíkan búnað og birtir hafa verið í Stjórnartíðindum Evrópubandalagsins.
V. KAFLI
Kröfur til vottunaraðila sem gefa út fullgild vottorð.
10. gr.
Kröfur til starfseminnar.
Vottunaraðili skal í þessu skyni:
a. viðhafa vandaðar stjórnunar- og starfsaðferðir,
b. hafa starfsfólk sem býr yfir þeirri sérfræðiþekkingu, reynslu og hæfni sem nauðsynleg er fyrir starfsemina og
c. hafa nægjanlegt fjármagn til að stunda starfsemina með hliðsjón af þeim kröfum sem gerðar eru í lögum þessum.
11. gr.
Kerfi og búnaður.
Ákvæðum 1. mgr. telst fullnægt ef vottunaraðilinn notar kerfi og búnað sem viðurkennd eru skv. 9. gr.
Vottunaraðilinn skal grípa til aðgerða til að hindra möguleika á fölsun vottorða. Í þeim tilvikum sem vottunaraðilinn býr til undirskriftargögn skal hann tryggja leynd við framleiðsluna.
12. gr.
Skráningar- og afturköllunarþjónusta.
13. gr.
Kennsl borin á undirritanda.
Upplýsingar um aðferðir þær sem notaðar eru skv. 1. mgr. skulu aðgengilegar almenningi.
14. gr.
Geymsla upplýsinga.
Vottunaraðilinn skal nota áreiðanleg kerfi við geymslu á vottorðum þannig að:
a. enginn geti gert breytingar eða viðbætur á vottorðum nema þeir sem til þess hafa sérstaka heimild,
b. unnt sé að athuga hvort upplýsingar eru réttar,
c. vottorð sé eingöngu aðgengilegt almenningi ef undirritandi hefur samþykkt það sérstaklega og
d. hugsanlegar tæknilegar breytingar, sem geta stefnt öryggiskröfum í hættu, séu sýnilegar þeim sem starfrækja kerfið.
Vottorðin skulu geymd þannig að unnt sé að sannprófa þau.
Vottunaraðilanum er ekki heimilt að geyma eða afrita undirskriftargögn undirritanda.
15. gr.
Upplýsingar um skilmála, takmarkanir o.fl.
a. skilmála og takmarkanir á notkun vottorðsins,
b. valfrjáls faggildingarkerfi sem starfrækt eru og
c. meðferð kvartana og úrlausn deilumála.
Upplýsingar skv. 1. mgr. má senda rafrænt, enda séu þær á læsilegu formi og á auðskiljanlegu máli. Þessar upplýsingar skulu, eftir því sem við á, vera aðgengilegar þriðja aðila sem treystir á vottorð og óskar eftir þeim.
16. gr.
Nánari reglur.
VI. KAFLI
Skaðabótaábyrgð.
17. gr.
a. að upplýsingar í vottorði hafi verið réttar þegar það var gefið út,
b. að vottorð hafi að geyma allar þær upplýsingar sem kveðið er á um í 7. gr.,
c. að undirritandi hafi við útgáfu vottorðs haft undir höndum undirskriftargögn sem svara til þeirra sannprófunargagna sem koma fram í vottorði,
d. að tiltekin undirskriftargögn svari eingöngu til tiltekinna sannprófunargagna og að tiltekin sannprófunargögn svari eingöngu til tiltekinna undirskriftargagna þegar vottunaraðili býr bæði gögnin til eða
e. að vottorð sé réttilega skráð í afturköllunarlista skv. 12. gr.
Vottunaraðili er ekki skaðabótaskyldur skv. 1. mgr. ef hann sannar að tjón verði ekki rakið til sakar hans.
Ef notkun vottorðs er andstæð takmörkunum á gildissviði þess eða á fjárhæð viðskipta og mögulegt er að kynna sér slíkar takmarkanir er vottunaraðili ekki skaðabótaskyldur vegna þess tjóns sem stafar af slíkri notkun.
VII. KAFLI
Eftirlit með vottunaraðilum sem gefa út fullgild vottorð.
18. gr.
Eftirlit.
Löggildingarstofa getur bannað starfsemi og aðstæður sem stríða gegn ákvæðum laga þessara og reglna settra á grundvelli þeirra. Þá er heimilt að setja skilyrði fyrir áframhaldandi starfsemi og veita fresti til að fullnægja slíkum skilyrðum.
Löggildingarstofa getur krafist þess að fram fari endurskoðun á kerfi, búnaði og starfsskipulagi vottunaraðila sem gefa út fullgild vottorð (endurskoðun upplýsingatækni). Löggildingarstofa getur tilnefnt þá aðila sem hafa heimild til að annast slíka endurskoðun. Vottunaraðili skal bera kostnað af slíkri endurskoðun.
Löggildingarstofa getur svipt vottunaraðila heimild til að kalla vottorð sem hann gefur út „fullgild vottorð“ ef hann hefur gróflega eða ítrekað brotið gegn ákvæðum laga þessara eða reglum settum á grundvelli þeirra.
Ráðherra getur sett nánari fyrirmæli um tilhögun eftirlits í reglugerð.
19. gr.
Skráning og eftirlitsgjald.
Vottunaraðili sem gefur út fullgild vottorð skal greiða gjald að fjárhæð 1.000.000 kr. á ári til að standa straum af kostnaði eftirlits samkvæmt lögum þessum. Ef vottunaraðili byrjar eða hættir starfsemi á gjaldárinu skal lágmarksárgjaldið ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varaði á árinu. Eftirlitsgjaldið skal renna beint til Löggildingarstofu og vera innheimt af henni. Aðför má gera til fullnustu kröfum um eftirlitsgjald án undangengins dóms, úrskurðar eða sáttar.
Gjalddagi eftirlitsgjalds er 1. febrúar ár hvert vegna síðasta almanaksárs.
Ráðherra getur sett nánari fyrirmæli um tilhögun skráningar, tilkynningar og upplýsingagjöf í reglugerð.
20. gr.
Athugun, aðgangur og þagnarskylda.
Löggildingarstofu er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laga þessara fer fram. Hún getur þar framkvæmt þær eftirlitsaðgerðir sem hún telur nauðsynlegar og krafist þess að starfsmenn á þeim stöðum veiti nauðsynlega aðstoð. Löggildingarstofa getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
Réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöðinni og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.
Starfsmenn Löggildingarstofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Löggildingarstofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.
21. gr.
Dagsektir.
Fjárhæð dagsekta skal ákvörðuð með hliðsjón af umfangi rekstrar vottunaraðila og eðli brotsins. Dagsektir geta numið frá 10.000 kr. til 1 millj. kr. á dag. Þær greiðast þar til farið hefur verið eftir kröfum Löggildingarstofu. Óinnheimtar dagsektir falla ekki niður þrátt fyrir að orðið sé við kröfum Löggildingarstofu nema Löggildingarstofa ákveði það sérstaklega.
Dagsektir eru aðfararhæfar og renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Ákvörðun Löggildingarstofu um dagsektir verður ekki kærð til ráðherra.
VIII. KAFLI
Ýmis ákvæði.
22. gr.
Vottunaraðilar sem hafa staðfestu utan Íslands.
a. vottunaraðilinn fullnægir ákvæðum laga þessara og hefur verið viðurkenndur af valfrjálsu faggildingarkerfi á Evrópska efnahagssvæðinu,
b. vottunaraðili, sem hefur staðfestu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laga þessara, ábyrgist vottorðið,
c. vottorðið stafar frá vottunaraðila sem hefur staðfestu í landi á Evrópska efnahagssvæðinu og uppfyllir kröfur þess lands til fullgildra vottorða eða
d. vottorðið eða vottunaraðilinn er viðurkenndur af Íslandi, Evrópubandalaginu, ríkjum utan Evrópubandalagsins eða alþjóðlegum stofnunum, í tvíhliða eða marghliða samningum.
23. gr.
Viðurlög.
Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Um refsiábyrgð lögaðila fer skv. II. kafla A almennra hegningarlaga.
24. gr.
Gildistaka.
Ákvæði til bráðabirgða.
Endurskoða skal ákvæði VII. kafla laga þessara þegar tvö ár eru liðin frá gildistöku þeirra með hliðsjón af reynslu af eftirlitinu og umfangi þess. Sérstaklega skal þá skoðað hvort rök séu til að endurskoða ákvæði um eftirlitsgjald.